基于无线的IPSEC实现流动业务统一门户

1 背景和存在问题

当前营业厅存在前台服务限时考核压力、客户因等候时间过长而影响满意度, 新业务销售任务重, 以及BOSS1.5系统、各新业务体验营销平台、自助服务网站分布在不同物理网络, 造成一线营业员无法方便使用等许多问题。在这服务和营销双重考核压力下, 营业厅的运营管理难以突破“瓶颈”, 在一定程度上影响了营业厅运营模式的战略转型, 影响移动信息专家形象。

目前较多集成商都能够单点登录, 实现统一门户、统一认证, 但是这种单点登录一般都是基于单一的有线网络。为了解决营业厅台席不足, 前台压力大的问题, 迫切需要采用流动式走动服务进行业务受理。走动服务显而易见就是要求通过无线网络, 而不是固定的有线网络, 为此需要解决如下几个问题。

(1) 无线网络的IP地址是动态分配的, 不存在固定IP。

(2) 需要访问安全性要求非常高的BOSS网络, 由于没有手机二次验证码的存在, 也存在一定的安全风险。

(3) WLAN无线使传统物理安全控制措施失去效力, 因为无线频率范围内的所有人都能看到传输的内容, 因此需要采用安全的IPSEC技术。

(4) 需要访问BOSS网络的同时能够访问公司部分互联网网站和平台, 如:网上营业厅、彩铃自助网站、新业务体验营销平台、积分网上商城等。

2 网络拓扑图

因此, 通过开发“流动业务统一门户”, 基于安全IPSEC技术实现无线单点登录, 从而解决了跨平台跨网络访问问题, 下面结合网络拓扑图, 对该系统作详细的阐述。

如图1所示。

图1给出了基于安全IPSEC技术实现无线单点登录的示意图, 主要涉及到CISCO VPN服务器、BOSS网内侧系统、BOSS网外侧互联网平台、BOSS网络代理服务器、流动业务统一门户五个部分。

具体功能说明如下。

(1) CISCO VPN网关: (1) 采用IPSEC协议, 引进了完整的安全机制, 包括加密、认证和数据防篡改功能, 通过包封装技术, 封装内部网络的IP地址, 实现异地网络的互通。 (2) 建立VPN通道时采用双重身份验证方式。第一重验证组认证信息:连接VPN需要的组名、组密码, 一般固定且可以进行密码可保存;第二重验证VPN用户认证:采用动态用户密码, 用户名是BOSS工号, 密码是BOSS的密码和二次验证码组合, 验证密码通过手机发送工号获取, 有效期为6分钟, 如果发送短信的手机和BOSS工号没有得到VPN访问的授权, 是无法得到验证密码的。通过以上解决安全性、可管理性等问题。

(2) BOSS网内侧系统:主要是在BOSS网络内侧安全性非常高的承载生产、分析、服务与营销登记的BOSS1.5、经分、数据集市等系统, 这些系统直接通过建立的VPN通道可以直接访问。

(3) BOSS网外侧系统:主要是在互联网公司平台和系统, 包括网上营业厅、彩铃自助网站、新业务体验营销平台、积分网上商城等, 这些系统必须通过代理服务器, 不能够直接通过建立的VPN通道访问。

(4) BOSS网络代理服务器:代理服务器是一个位于客户端 (即终端电脑) 和原始服务器 (即BOSS外侧互联网平台) 之间的服务器, 为了从原始服务器取得内容, 代理服务器采用正向代理技术, 客户端向代理发送一个请求并指定目标 (原始服务器) , 然后代理向原始服务器转交请求并将获得的内容返回给客户端, 从而实现访问指定网站并且隐藏客户端自身, 从而确保内网BOSS网络安全。

(5) 流动业务统一门户:该系统是基于IPSEC而实现BOSS网内、外侧系统安全、无缝的单点登录访问, 实现多个系统自由切换。

3 系统流程

结合图1, 下面将说明系统访问的具体流程。

(1) 终端电脑通过无线AP, 通过WLAN连接到互联网上。

(2) 手机发送BOSS工号到10658452接入号获取二次验证密码, 将BOSS密码和二次验证密码进行组合形成新密码, 通过CISCO VPN认证, 并成功建立VPN通道, 以后所有的数据通信都通过该IPSEC进行, 为了确保安全性, 在IPSEC建立的同时, 也禁止直接互联网访问。

(3) 在流动业务统一门户上, 通过BOSS工号进行登录, 登录成功后, 读取每个系统的工号, 记录登录日志。

(4) 当访问BOSS网内侧系统时候, 流动业务统一门户直接打开映射的地址, 进行系统登录。并记录访问日志。

(5) 当访问BOSS网外侧系统时候, 流动业务统一门户将请求地址提交到代理服务器, 代理服务器进行判断访问地址是否在运行访问的几个网站、平台, 如果不是允许访问的地址, 则返回默认禁止访问的页面, 否则代理服务器访问指定的互联网地址并进行密码的验证, 并将数据包返回给终端电脑, 从而实现登录, 并记录访问日志。

(6) 当流动业务统一门户退出时, 分别提交注销的数据包给各个已登录的平台, 从而实现从所有平台的退出, 并记录注销日志。

4 系统运用

通过该系统解决了传统通过有线方式因网线限制难以走动服务的问题, 同时通过CISCO VPN网关以及代理服务器组成的设备以及IPSEC技术, 确保能够同时访问两种不同安全等级不同的网络, 具有3大特点。

一是具有“营销、服务、体验”一体化支撑特点, 方便、实用、易用、好用, 真正实现一线面向客户全职能包括服务、体验、销售在内的一台清。如营业前台为客户推荐开通彩铃后马上可以通过彩铃自助网站教会客户下载彩铃、设置彩铃。为满足客户经理、营业员、片区营销人员等一线人员业务支撑需求。推动营业厅从“服务型”向“销售服务型”功能转变, 满足客户经理、营业员、片区营销人员等一线人员“营销、服务、体验”一体化业务支撑需求。

二是通过“五统一”方式即统一终端、统一时间、统一路由、统一门户、统一认证, 解决了跨平台跨网络访问问题, 即同时能够访问BOSS系统、经分系统、网上营业厅、彩铃自助网站、新业务体验营销平台、积分网上商城、I-Home等, 通过单点登录解决了使用者需要频繁登录多个系统或、切换各个网络、经常忘记密码等实际问题, 真正为一线人员实现面向客户从服务到销售、体验全方位、一体化的支撑, 一线人员使用系统的满意度大大提高。

三是能够根据场景条件情况灵活选择WLAN、EDGE无线任一方式接入使用流动业务统一门户, 有效支撑公司由坐商向行商转变, 使BOSS系统、经分系统、各种用户自助平台有效延伸到客户经理上门服务、营业导购走动服务营销、片区进社区或下乡促销等生产环境下应用, 流动业务统一门户大大提高了客户对业务支撑的满意度和美誉度。

通过使用, 每月平均访问登录人数80个, 登录次数2800余次, 通过走动营销, 受理业务达到74942次。

摘要：在这服务和营销双重考核压力下, 营业厅的运营管理难以突破“瓶颈”, 在一定程度上影响了营业厅运营模式的战略转型, 影响移动信息专家形象。本文通过开发“流动业务统一门户”, 基于安全IPSEC技术实现无线单点登录, 通过“五统一”方式即统一终端、统一时间、统一路由、统一门户、统一认证, 解决了跨平台跨网络访问问题, 采用流动式走动服务进行业务受理, 解决营业厅台席不足, 前台压力大的问题, 有效支撑公司由坐商向行商转变, 实现“营销、服务、体验”一体化。

关键词：无线,IPSEC,VPN,单点登录,流动业务统一门户

参考文献

[1] 卢建刚.基于IP技术的VPN网关设计与实现[D].浙江:浙江大学, 2005.

[2] Carlton R.Davis.IPSec VPN的安全实施[M].北京:清华大学出版社, 2002:46～47.

[3] 戴宗坤, 唐三平.VPN与网络安全[M].北京:电子工业出版社, 2002.

[4] 王学庆.Delphi6数据库设计实例导航[M].北京:科学出版社, 2003.

[5] Marty Hall.Servlet与JSP核心技术[M].人民邮电出版社, 2001, 10.

[6] Karl Avedal[著], 黎文, 等[译].JSP编程指南[M].电子工业出版社, 2001, 4.

[7] 武延军, 黄飞跃.精通JS编程技术 (网络技术精通系列) [M].人民邮电出版社, 2001, 8.

[8] 张强.IPSec协议在VPN中的研究与应用[D].江苏:南京工业大学, 2006.

[9] 姜正强.一个改进的IPSec协议及其实现研究[D].湖北:华中科技大学, 2006.

[10] R.Glenn, S.Kent.The Null Encryp-tion Algorithm and Its Use with IPSec[J].RFC2410, 1998, 11.